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Beschreibung 

Schaltung und Verfahren zur Sicherung elektronischer Vorrich- 
tungen. 

Die vorliegende Erfindung betrifft eine elektronische Schal- 
tung und ein Verfahren zur Sicherung elektronischer Vorrich- 
tungen, insbesondere zur Sicherung der Freigabe von Chipfunk- 
tionen. 

Bestimmte Formen elektronischer Schaltungen, wie zum Beispiel 
Chipkarten, erfordern ein hohes Mali an Geheimhaltung der in 
der Schaltung enthaltenen Inf ormationen oder gespeicherten 
Daten (zum Beispiel Schlussel ftir kryptologische Verfahren) . 
Diese sicherheitsrelevanten Informationen mUssen sowohl vor 
Fremdanalysen als auch vor Manipulation geschtitzt werden. Es 
itiufi insbesondere vermieden werden, dafi sich Unbefugte Zugang 
zu den Informationen verschaffen, indem sie Versuche nicht 
autorisierter Zugriffe auf die betreffende elektronische Vor- 
richtung so oft wiederholen, bis eine Analyse der sicher- 
heitsrelevanten Informationen oder ein Zugriff ermoglicht 
ist. Das kann zum Beispiel der Fall sein, wenn durch mehrma- 
liges Probieren eine PIN herausgef unden werden kann. Eine Si- 
cherung eines Chips oder einer Chipkarte erfolgt deshalb in 
der Weise, dali nach einer bestimmten Anzahl nicht autorisier- 
ter Zugriff sversuche jeder weitere Zugriff sversuch und damit 
in der Regel auch ein autorisierter Zugriff unterbunden wird. 
Die Sicherungsmaiinahmen sind dann unter Umstanden zu rigide, 
weil zum Beispiel bereits nach zwei versehentlichen Fehlver- 
suchen auch dem Zugangsberechtigten kein Zugang mehr gewahrt 
wird. So etwas kann auch bei einem Defekt im Terminal auftre- 
ten, der dazu ftihrt, daB die Zugangsberechtigung vom Terminal 
nicht korrekt erkannt wird. 

Aufgabe der vorliegenden Erfindung ist es, eine technische 
Lehre zur Sicherung der Freigabe der Funktion einer elektro- 
nischen Vorrichtung anzugeben, die einen ausreichenden Schutz 
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gegen Miiibrauch bietet und gleichzeitig verhindert, daJi auf- 
grund von Bedienungsf ehlern Oder Fehlfunktionen eine Nut- 
zungsberechtigung voreilig versagt wird. 

5 Diese Aufgabe wird mit der Schaltung mit den Merkitialen des 

Anspruches 1 bzw. mit dem Verfahren mit den Merkmalen des An- 
spruches 5 gelost. Ausgestaltungen ergeben sich aus den je- 
weiligen abhangigen Anspruchen. 

0 Die erfindungsgemafie Schaltung und das damit zusammenhangende 
erfindungsgemSBe Verfahren erhohen die Zugrif f szeit, d. h. 
die Zeit zwischen dem Beginn eines Zugrif f sversuchs und der 
Freigabe Oder AusfUhrung einer Funktion der elektronischen 
Vorrichtung, zum Beispiel eines Chips, bei nicht autorisier- 
5 ten Zugriffen. Dadurch wird eine DP-Analyse (differential po- 
wer analysis) wirkungsvoll unterbunden, da der zeitliche Auf- 
wand dafUr soweit erhoht ist, dafi sie praktisch nicht mehr 
durchfiihrbar ist. Bei bestimmungsgemafiem Gebrauch der filr ei- 
nen autorisierten Zugriff vorgesehenen Mittel werden die An- 
zahl und die Frequenz der Zugriffe auf die elektronische Vor- 
richtung nicht eingeschrankt . Gleichzeitig ist das Verfahren 
bzw. der Einsatz der Schaltung weitgehend tolerant gegenliber 
Zugrif fsversuchen, die aufgrund von versehentlichen Fehlbe- 
dienungen oder von Geratestorungen f ehlschlagen . 

Die erf indungsgemalie Schaltung umfaiit zwei Komponenten, die 
durch eine gemeinsame elektrische Grolie, z, B. eine Spannung 
Oder eine Ladung gekennzeichnet sind. Bei der einen Komponen- 
te kann diese elektrische GroUe im Ablauf eines bestimmten 
Zeitintervalls an einen Referenzwert angeglichen werden, aus- 
gehend von einem von dem Referenzwert verschiedenen Wert, im 
folgenden als Grundwert bezeichnet. Bei der anderen Komponen- 
te kann die elektrische Grofie vorzugsweise auf verschiedene 
Werte eingestellt oder einprogrammiert werden, so dal3 damit 
jeweils ein Referenzwert gegeben ist, der verandert werden 
kann. Es ist eine dritte Komponente vorhanden, die fiir den 
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Vergleich der Werte der besagten elektrischen GroBe der bei- 
den genannten Komponenten vorgesehen ist. 

Die Komponenten konnen B. durch zwei Floating-Gate-Zellen 
5 Oder durch zwei Kondensatoren oder dergleichen gebildet wer- 
den, wenn die dritte Komponente ein fur den Vergleich von 
elektrischen Spannungen vorgesehener Koitiparator ist. In einer 
bevorzugten Ausfiihrung mit Floating-Gate-Zellen wird die Ein- 
satzspannung als elektrische GroBe gewahlt. Die Einsatzspan- 
10 nung der ersten Floating-Gate-Zelle wird zeitlich verandert 
und mittels eines Komparators mit der den Referenzwert bil- 
denden Einsatzspannung der zweiten Floating-Gate-Zelle ver- 
glichen. Wenn ein Zugrif f sversuch auf die Nutzung der elek- 
tronischen Vorrichtung erfolgt, zum Beispiel beim Einftihren 
einer Chipkarte in einen Kartenleser und beim Eingeben einer 
PIN, wird die erste Floating-Gate-Zelle ausgehend von einem . 
vom dem Referenzwert verschiedenen Wert, dem Grundwert, auf- 
geladen, bis der Komparator eine Obereinstimmung der Einsatz- 
spannungen der Zellen feststellt. 

20 

Nach einem f estgestellten unberechtigten Zugrif f sversuch wird 
die oben definierte Zugriffszeit herauf gesetzt , indem der Re- 
ferenzwert geandert wird oder indem die Geschwindigkeit , mit 
der die Werte aneinander angeglichen werden, vermindert wird. 

25 Mit unberechtigten Zugrif fsversuchen verlangert sich somit 
die abzuwartende Zeit, bis bei einem nachf olgenden Zugriff 
die Funktion freigegeben wird oder beispielsweise im Fall ei- 
ner Chipkarte ein Kryptoalgorithmus zur Uberprufung eines 
Schlussels ablauft. Das erschwert eine DP-Analyse erheblich, 

30 da sich bereits nach einer geringen Anzahl von nicht autori- 
sierten Zugrif fsversuchen die Zeit bis zu einer moglichen 
Nutzung der Funktion drastisch erhoht hat. Die Zugriffszeit 
kann nach jedem unberechtigten Zugrif f sversuch verlangert 
werden oder nur, wenn zusatzlich bestimmte vorgegebene Bedin- 

35 gungen erfullt sind. 
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Es folgt eine genauere Beschreibung von Ausf iihrungsbeispielen 
der Erfindung anhand der in den beigefiigten drei Figuren dar- 
gestellten Programmablauf plane . Der einfacheren Bezeichnungen 
halber werden als elektronische Komponenten der Schaltung je- 
weils zwei Floating-Gate-Zellen und ein Koitiparator angenom- 
men, der als elektrische Grolie in diesem Beispiel die Ein- 
satzspannungen der Zellen miteinander vergleicht, 

Bei eineiti Ausf uhrungsbeispiel der Erfindung, bei dem entspre- 
chend dem Programmablaufplan der Figur 1 verfahren wird, ist 
vor der ersten Feststellung, ob eine Berechtigung zur Nutzung 
der elektronischen Vorrichtung gegeben ist, also zum Beispiel 
vor dem ersten Einftihren einer Chipkarte in den Chipkartenle- 
ser, der Wert der elektrischen GroBe der ersten Komponente 
(eine der Floating-Gate-Zellen, im folgenden als Zelle A be- 
zeichnet) auf einen bestimmten Grundwert (eine bestimmte Ein- 
satzspannung Uao) eingestellt und der Wert der elektrischen 
Grofie der zweiten Komponente (die andere Floating-Gate-Zelle, 
im folgenden als Zelle B bezeichnet) auf einen davon in einer 
vorgegebenen Weise verschiedenen Referenzwert (andere Ein- 
satzspannung Ubo/ vorzugsweise hoher als Uao) eingestellt. Da- 
mit befinden sich die Komponenten in ihren Grundzustanden. 
Ein Zugrif f sversuch wird im Fall einer Chipkarte typischer- 
weise initialisiert , indem die Karte in einen Kartenleser 
eingefuhrt wird (INS-^START) und eine PIN oder vergleichbare 
Daten eingegeben werden. Dann wird zunachst uberpriift, ob 
sich die erste Komponente (Zelle A) im Grundzustand (mit der 
Einsatzspannung auf dem Grundwert Uao) befindet. Ist das der 
Fall (A=_ ? ^ ) , wird die Oberprufung der Zugangsberechtigung 
begonnen, indem zunachst der Wert der elektrischen GroJie der 
ersten Komponente (Einsatzspannung Uao der Zelle A) langsam 
auf den Referenzwert (Einsatzspannung Ubo der Zelle B) ge- 
bracht wird (A./'^B, indem Zelle A zum Beispiel uber eine 
Folge von kurzen Pulsen oder liber eine, im Vergleich zum ub- 
lichen Betrieb, verminderte Programmierspannung aufgeladen 
wird) . Eine Freigabe der zu nutzenden Funktionen der elektro- 
nischen Vorrichtung im Fall eines autorisierten Zugriffs er- 
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folgt nach Oberprufung der Zugrif f sberechtigung (ACC ? ✓) 
erst dann, wenn beide Komponenten denselben Wert der elektri- 
schen GroJJe (Ref erenzwert , speziell dieselbe Einsatzspannung) 
besitzen oder der Betrag der Differenz der Werte unterhalb 
eines vorgegebenen niedrigen Wertes liegt, was im Beispiel 
durch den Komparator festgestellt wird. 

Nachdem der Nutzer die Funktionen der elektronischen Vorrich- 
tungen genutzt hat (USE) , also zum Beispiel am Ende einer 
ausgefuhrten Chip (karten) funktion, wird die erste Komponente 
(Zelle A) wieder in den Grundzustand (Einsatzspannung auf dem 
Grundwert Uao) versetzt (Ai_) . Die Schaltung ist damit fUr 
den nSchsten Zugrif fsversuch, zum Beispiel auf die Funktionen 
eines Chips, initialisiert (A=_) . Die Nutzung wird in regula- 
rer Weise (im Fall der Chipkarte mit dem Auswurf der Karte) 
beendet (STOP-*EJ) . Wird die Nutzung vorzeitig unterbrochen, 
besitzt die erste Komponente (Zelle A) noch einen von dem 
Grundwert verschiedenen Wert der elektrischen GroBe (A=3fc_, 
Einsatzspannung von Zelle A verschieden von Uao) / wenn der 
nachste Zugrif fsversuch beginnt, 

Im ursprUnglichen Zustand, zum Beispiel bei Auslieferung ei- 
nes mit einer erf indungsgemalJen Schaltung gesicherten Chips 
an den Kaufer, sind die Grundzustande der Komponenten so ein- 
gestellt, daB beim zeitlichen Verandern des Wertes der ersten 
Komponente (Aufladen der ersten Zelle A) der Referenzwert 
(die Einsatzspannung der Zelle B) in kurzester Zeit erreicht 
wird, so dafi die Freigabe der Funktionen der elektronischen 
Vorrichtung (hier der Chipf unktionen) nicht merklich verzo- 
gert wird. 

Nach einem unberechtigten Zugrif fsversuch (ACC ? nicht ✓) 
wird durch geeignete und an sich bekannte Mittel der elektro- 
nischen Schaltung dafur gesorgt, daB ein Angleichen der Werte 
der Komponenten (Einsatzspannungen der Zellen) langer dauert 
als zuvor. Das geschieht vorzugsweise auch dann, wenn ein be- 
rechtigter Zugriff auf die Nutzung vorzeitig abgebrochen 



GR 99 p 2 67,1 DE 



6 

wird. Es kann im Fall einer Ausftihrung mit Floating-Gate- 
Zellen und einer niedrigeren Einsatzspannung der Zelle A als 
Grundwert sowie einer hbheren Einsatzspannung der Zelle B als 
Referenzwert die Einsatzspannung der zweiten Zelle B etwas 
5 erhoht werden (Bt~/ zum Beispiel durch einen kurzen Program- 
itiierpuls) auf einen neuen, hoheren Referenzwert, so daJ5 es 
langer dauert, bis die erste Zelle A aus dem Grundzustand so- 
weit aufgeladen ist, daB die Einsatzspannungen beider Zellen 
ubereinstiinmen. Die Folge ist, dafi sich die Zugriffszeit er- 
10 hoht. Wird zu Beginn des Zugrif f sversuches f estgestellt , dafi 
die Zelle A nicht im Grundzustand ist (A=_ ? nicht z. B. 

Abbruch des letzten Zugrif fs) / dann wird in diesem Ausfuh- 
rungsbeispiel die Einsatzspannung von Zelle A auf den Grund- 
wert Uao gesetzt (Ai_) und die Einsatzspannung von Zelle B 
\15 auf einen davon starker dif f erierenden Wert als neuen Refe- 
renzwert geSndert (im Beispiel weiter erhoht, Bt") . Erst dann 
erfolgt die Angleichung der Einsatzspannungen. 

Vorzugsweise werden die Verhaltnisse so eingestellt, daB bis 
20 zu einer unter Sicherheitsaspekten zugestandenen Anzahl von 
fehlgeschlagenen Zugrif fsversuchen (je nach Anwendung z. B. 
bis zu einigen hundert) die verlangerte Zugriffszeit den Nut- 
zen der elektronischen Vorrichtung in der praktischen Anwen- 
dung, zum Beispiel des Chips, noch nicht merklich ein- 
^25^ schrankt. Vorzugsweise ist die erf indungsgemafie Schaltung so 
aufgebaut, daft oberhalb einer vorgegebenen Anzahl unberechti- 
ger Zugrif fsversuche die Zeitdauer fur das Angleichen der 
Einsatzspannungen der Zellen sehr stark ansteigt, so dali eine 
DP-Analyse praktisch nicht mehr durchfuhrbar ist, 

30 

Die Schaltung ist vorzugsweise so beschaffen, daft sicher- 
heitshalber auch bei einem abgebrochenen Zugrif fsversuch die 
Zugriffszeit verlangert wird. Das wird durch die Abfrage 
festgestellt, ob die erste Komponente (Zelle A) im Grundzu- 
35 stand ist {A=_ ?) . Wenn der Zugrif fsversuch abgebrochen wird, 
nachdem die Angleichung der Werte der elektrischen Grofie der 
Komponenten (z. B. Einsatzspannungen der Floating-Gate- 
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Zellen) begonnen hat, so dafi die erste Komponente (Zelle A) 
nicht im Grundzustand ist, wird vorzugsweise zu Beginn des 
nachsten Zugrif f sversuches der Wert der ersten Komponente auf 
den Grundwert (die Einsatzspannung der Zelle A auf Uao) zu- 
rtickgesetzt und der Referenzwert (die Einsatzspannung der 
Zelle B) vorsorglich so geandert (im vorstehenden Beispiel 
erhoht) , als ware bei dem vorherigen Zugrif fsversuch festge- 
stellt worden, daJi keine Nutzungs- oder Zugangsberechtigung 
gegeben war. Damit wird sichergestellt , daB sich die erf in- 
dungsgemafie Schaltung nur dann in einem Zustand niedrigster 
Zugrif fszeiten befindet, wenn zuvor ausschlielilich berechtig- 
te Zugrif fe erfolgten und ordnungsgemafi abgeschlossen wurden. 
Falls der Spannungspegel einer Floating-Gate-Zelle A nicht 
ausreicht, urn f estzustellen, ob die Einsatzspannung dieser 
Zelle nach einem autorisierten und abgeschlossenen Zugriff 
auf den Grundwert zurtickgesetzt wurde, kann fiir diese Bewer- 
tung eine zusatzliche Zelle verwendet werden (zum Beispiel 
eine digitale Flag-Zelle) . 

Zur optimalen Anpassung der Abhangigkeit der Zugriffszeit von 
der Anzahl vorhergehender nicht autorisierter Zugrif fsversu- 
che kann die Veranderung des in der einen Komponente gespei- 
cherten Ref erenzwertes, z. B. die Programmierung der Zelle B, 
deren Einsatzspannung in erfolglosen oder abgebrochenen Zu- 
grif fsversuchen progressiv erhoht wird, abhangig vom jeweili- 
gen Zustand dieser Komponente geregelt werden (zum Beispiel 
durch dynamische Anpassung der Programmierspannung oder Pro- 
grammierdauer) . Im Fall der Verwendung von Floating-Gate- 
Zellen kann, anstatt die Einsatzspannung der Zelle B nach je- 
dem f ehlgeschlagenen oder abgebrochenen Zugrif fsversuch zu 
andern, die verlangerte Zugriffszeit dadurch bewirkt werden, 
dafi das Aufladen der Zelle A zum i\ngleichen der Einsatzspan- 
nungen zunehmend verzogert wird, z. B. durch Andern des 
Grundwertes der Einsatzspannung der Zelle A oder durch Ver- 
langsamung des Auf ladevorganges . Das macht aber im Unter- 
schied zu dem oben beschriebenen bevorzugten Ausfuhrungsbei- 
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spiel eine weitere Schaltungskomponente zum Registrieren der 
nicht ordnungsgemafi beendeten Zugrif f sversuche erforderlich. 

Ein weiteres Ausfiihrungsbeispiel, bei dem entsprechend dem 
Prograininablaufplan der Figur 2 verfahren wird, sieht vor, daii 
nach der Initialisierung und einer vorzugsweise stattfinden- 
den Abfrage, ob die anzugleichende Komponente (Floating-Gate- 
Zelle A) sich im Grundzustand befindet, (A=_ ?) zunachst eine 
Abfrage durchgefuhrt wird, ob eine Zugangsberechtigung vor- 
liegt (ACC ?) • 1st das der Fall (ACC ? erfolgt die An- 

gleichung der Werte (Grundwert bzw. Ref erenzwert) der elek- 
trischen Grofie der Komponenten; beispielsweise wird die Ein- 
satzspannung der Zelle A auf die Einsatzspannung der Zelle B 
."^ gebracht (A_^""B) . Wahrend dieses Vorgangs kann bereits die 
Nutzung der Funktion (USE) der elektronischen Vorrichtung 
(z. B. der Chipfunktionen der Chipkarte) freigegeben werden, 
so dafi der T^wender nicht den gesamten Angleichungsprozefi ab- 
zuwarten braucht- Nur im Fall einer mehrmals veranderten Ein- 
stellung der zweiten Komponente (Zelle B) infolge mehrfacher 
fehlerhafter Zugrif f sversuche erhoht sich die Zugriffszeit 
merklich. 

Wird zu Beginn des Zugrif fsversuches f estgestellt, dali die 
erste Komponente (Zelle A) nicht im Grundzustand ist (A=_ ? 
nicht y ) , dann wird vorzugsweise auch bei diesem Ausfiih- 
rungsbeispiel eine Verzogerung der Zugriffszeit vorgesehen. 
Dazu wird zunachst die erste Komponente in den Grundzustand 
gebracht (die Einsatzspannung von Zelle A auf den Grundwert 
Uao gesetzt) und der Referenzwert geandert (die Einsatzspan- 
nung von Zelle B geandert, d. h. in dem Beispiel weiter er- 
hoht, Ai_ BT*^) . Erst nach einer anschlieftenden Angleichung 
der Werte der elektrischen Grolie der Komponenten (A_/^~"B) er- 
folgt die Oberpriifung der Zugangsberechtigung (ACC ?) . Um die 
Analyse eines Kryptoalgorithmus zu verhindern, wird die Zu- 
griffszeit vorzugsweise in den Fallen erhoht, in denen ein 
Zugrif fsversuch im AnschluB an die Oberprlifung der Zugangsbe- 
rechtigung abgebrochen wird* Das kann auf einfache Weise da- 
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durch geschehen, dal5 dafUr gesorgt wird, dafi der Wert der 
elektrischen GrOfie der ersten Komponente (Zelle A) im An- 
schluB an die tJberpriifung der Zugangsberechtigung (ACC ?) 
stets von dem Wert im Grundzustand verschieden ist. Bei einer 
5 bereits erfolgten Angleichung der Werte der elektrischen Gro- 
Be der Komponenten (A_/^~B) ist das ohnehin der Fall. Liefert 
die Oberpriifung, ob die anzugleichende Komponente (Zelle A) 
sich im Grundzustand befindet, (A==_ ?) ein positives Ergeb- 
nis, kann der Wert der elektrischen Grofie der ersten Kompo- 
10 nente z. B. auf einen Wert eingestellt werden (A=^_) , der von 
dem Grundzustand verschieden ist, aber eine ausreichende 
Zeitspanne fur die Angleichung an den Wert der elektrischen 
Grolie der zweiten Komponente garantiert (z. B. etwas niedri- 
ger oder nur wenig hoher ist als der Wert im Grundzustand) . 

15 

Wird fehlende Zugangsberechtigung festgestellt (ACC ? nicht 
) , wird ebenfalls der Referenzwert geandert (die Einsatz- 
spannung von Zelle B geandert, Bt"") , so daB sich die Zu- 
griffszeit bei nachf olgenden Zugrif f sversuchen verlangert. 
20 Auch bei diesem Ausf tihrungsbeispiel wird nach einer abge- 

schlossenen Nutzung (USE) die erste Komponente in den Grund- 
zustand ruckgesetzt (die Einsatzspannung der Zelle A auf Uao/ 
Al_) . Nach einem vorzeitigen Abbruch des Zugrif fs wahrend des 
, ^ Vorganges der Angleichung befindet sich diese Komponente 

L^^^>' riicht mehr im Grundzustand (A=!fc_) . Das lost bei einem erneu- 
- ten Zugrif fsversuch die beschriebene Anderung des Zustands 
der zweiten Komponente (Zelle B, Al_ Bt") aus . 



30 



Dieses Ausf uhrungsbeispiel hat den Vorteil, dali die Zugriffs- 
zeit nicht durch den Vorgang des Angleichens von Grundwert 
und Referenzwert der beiden Komponenten verzogert wird, wenn 
bereits wahrend dieses Vorganges die Nutzung der elektroni- 
schen Vorrichtung (Chipf unktion) freigegeben wird. Bei aus- 
schlieBlich bestimmungsgemaliem Gebrauch der Schaltung tritt 
35 folglich eine verlangerte Zugriffszeit erst nach einer Viel- 
zahl von fehlerhaften Zugrif fen in Erscheinung. 
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Ein weiteres Ausf uhrungsbeispiel, bei dem entsprechend dem 
Programmablaufplan der Figur 3 verfahren wird, sieht vor, dali 
bei ordnungsgemalier Verwendung der Schaltung zu Beginn die zu 
vergleichende elektrische GroBe bei beiden Komponenten den- 
5 selben Wert hat (A=B) , d. h* im Grundzustand der Komponenten 
sind bei diesem Ausf uhrungsbeispiel beide Werte gleich dem 
Ref erenzwert • 1st das nicht der Fall (A=B ? nicht wird 
der Wert der zweiten Komponente (Ref erenzwert) so verandert, 
dafi das Erreichen des Ref erenzwertes ausgehend vom Grundwert 
10 der ersten Komponente ein iSngeres Zeitintervall in Anspruch 
nimmt als zuvor (Bt"") und anschlieBend mit einer Angleichung 
der Werte der elektrischen GroBe der Komponenten (A_^'"B) ei-. 
ne Zeitverzogerung bewirkt. Dann wird jeweils bei der ersten 
Komponente der Grundwert eingestellt {Ai_) . Gegebenenf alls 
15 werden im AnschluB an diese erste Abfrage noch Daten (FIN 

Oder dergleichen) eingegeben, die fiir die OberprUfung der Zu- 
gangsberechtigung erforderlich sind. Das kann aber auch wie 
in den zuvor beschriebenen Ausf uhrungsbeispielen zu Beginn 
{z. B. sofort nach dem Einfilhren einer Chipkarte INS-^START) 
20 erfolgen. 

Vor Oder nach der Uberprufung der Zugangsberechtigung (ACC ?) 
werden die Werte der elektrischen GroBe aneinander angegli- 
chen, indem der Grundwert wahrend eines bestimmten Zeitinter- 
25 valles geandert und nach und nach an den Referenzwert ange- 
glichen wird {A^^^B) . Wahrend dieser Vorgang ablauft, kann 
bereits die Nutzung freigegeben werden (USE), falls die Zu- 
gangsberechtigung bereits festgestellt worden ist. Nach einem 
erfolgten Angleichen der Werte (A=B, gegebenenf alls innerhalb 
unvermeidlicher Toleranzen) , bef inden sich beide Komponenten 
in dem fur dieses Ausf uhrungsbeispiel charakteristischen 
Grundzustand, der einen erneuten Zugriff ohne Verlangerung 
der Zugriff szeit ermoglicht. Falls der Zugriff verweigert 
wird (ACC ? nicht ✓) oder falls der Zugriff vorzeitig abge- 
35 brochen wird (keine vollst^ndige Angleichung), sind die Werte 
der elektischen GroBe bei beiden Komponenten voneinander ver- 
schieden [A^B) , so daB zu Beginn des nachsten Zugrif f sversu- 



30 
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ches automatisch eine Anderung des Wertes (Ref erenzwert ) der 
zweiten Komponente (Bt"") und durch den beschriebenen Vorgang 
des Angleichens (A^^^B) eine Zeitverzogerung herbeigef uhrt 
wird. 

5 

Urn in den Ausf lihrungsbeispielen mit Floating-Gate-Zellen itiit 
unterschiedlichen Grundzustanden (Grundwert ungleich Refe- 
renzwert) eine Manipulation inittels UV-Bestrahlung ausschlie- 
. Ben zu konnen, kann zusatzlich zu der. Zelle B, deren Einsatz- 

10 spannung nach erfolglosen Zugrif f sversuchen sukzessive erhoht 
wird, eine weitere Zelle C in der Schaltung vorhanden sein, 
die jeweils in den entgegengesetzten Zustand zu der Zelle B 
1^ gebracht wird. Bei einigen Ausftihrungsformen kann das erfol- 
V' gen, indem die weitere Zelle C mit Pulsen gleicher Hohe und 

15 Zeitdauer wie die Zelle B, aber entgegengesetzter Polaritat 
beaufschlagt wird. Die beiden Zellen B und C werden vorzugs- 
weise benachbart zueinander angeordnet und vor deiti ersten Ge- 
brauch der Schaltung mit einer Differenz ihrer Einsatzspan- 
nungen versehen. Zeigen die beiden Zellen spater in irgendei- 

20 nem Betriebszustand dieselbe Einsatzspannung, kann das als 

Indiz dafiir angesehen werden, dali versucht wurde, die Schal- 
tung mit UV-Bestrahlung zu manipulieren. Es konnen dann ge- 
eignete Gegenmalinahmen ergriffen werden. 



2^5 Durch eine geeignete Ausgestaltung der Source-/Drain-An- 

schlusse der Zelle B, deren Einsatzspannung nach erfolglosen 
Zugrif f sversuchen sukzessive geandert wird, kann verhindert 
werden, daft diese Einsatzspannung elektrisch zuruck auf ihren 
Ausgangswert gebracht wird. Eine Angleichung der Einsatzspan- 
30 nungen auf elektronischem Weg und damit eine Umgehung der Si- 
cherungsfunktion der Schaltung kann damit ausgeschlossen wer- 
den. 

Die Zugangsberechtigung kann je nach vorliegenden Sicher- 
35 heitserfordernissen bereits wahrend des Vorgangs des Anglei- 
chens der Werte der Komponenten (Auf laden der einen Zelle) 
Oder erst nach vollstandig erfolgter Angleichung (der Ein- 
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satzspannungen) liberpriift werden. Ergibt die Abfrage (ACC ?) 
der Zugangsberechtigung, dafi die Berechtigung zur Nutzung der 
elektronischen Vorrichtung gegeben ist, wird diese Nutzung 
freigegeben und der Zugriff kann erfolgen. Nach ordnungsgema- 
iiem AbschluB des Zugriffs veranlafit die Schaltung einen Re- 
set, mit dem z\amindest die Komponente der Schaltung, deren 
Wert in dem Vorgang des Angleichens verandert wird, (Zelle A) 
in den vorgegebenen Grundzustand zuruckgeset zt wird. Ergibt 
die Abfrage der Zugangsberechtigung hingegen, dafi kein auto- 
risierter Zugriff sversuch vorliegt, sei es, daB die Berechti- 
gung fehlt, sei es, dafi ein Defekt in der die Berechtigung 
tlberprafenden elektronischen Vorrichtung (Terminal) vorliegt, 
erfolgt eine Anderung der Zugriff szeit, indem die Differenz 
zwischen dem Grundwert der ersten Komponente. und dem Refe- 
renzwert der zweiten Komponente (zum Beispiel die Differenz 
der Betrage der Einsatzspannungen der Zellen) vergroliert 
wird. Bei einem erneuten Zugriff sversuch wird mit dem Anglei- 
chen dieser jetzt auf eine groBere Differenz gebrachten Werte 
die Zugriff szeit festgelegt. Je nachdem, ob die Abfrage gege- 
bene oder fehlende Berechtigung ergibt, wird der Zugriff auf 
die Nutzung der elektronischen Vorrichtung freigegeben oder 
erneut eine Anderung der Zugriff szeit veranlaBt. 

Es ist bei der er f indungsgemaBen Schaltung nur erf orderlich, 
daB die erste Komponente nach jedem ordnungsgemaB abgeschlos- 
senen Zugriff in den Grundzustand ruckversetzt wird. Das hat 
allerdings zur Konsequenz, daB wahrend der gesamten Ge- 
brauchsdauer der Schaltung (z. B. Lebensdauer der Chipkarte) 
jeder nicht bestimmungsgemaB ausgefuhrte Zugriff eine Verlan- 
gerung der Zugriffszeit bewirkt, so daB die Verwendung der 
Schaltung unter Umstanden nach einiger Zeit stark beeintrach- 
tigt wird. Bei geringeren Sicherheitsanf orderungen kann des- 
halb vorgesehen werden, dafi bei dem ordnungsgemaBen AbschluB 
(STOP) jedes berechtigten Zugriffs beide Komponenten (sowohl 
Zelle A als auch Zelle B) in ihre jeweiligen Grundzustande 
zuruckgesetzt worden sind. Alternativ kann vorgesehen sein, 
daB ein derartiger vollstandiger Reset nur auf ausdrticklichen 
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Befehl (entsprechende Eingabe von Daten) des Nutzers wahrend 
eines berechtigten Zugriffs durchgeftihrt wird. Der Anwender 
Oder Nutzer der Schaltung konnte in diesem Fall die Zugriffs- 
zeit nach einer Anzahl von fehlerhaft ausgefuhrten Zugriffen 
auf einen niedrigen Ausgangswert zurucksetzen. 

Aufgrund der kurzen Zugrif f szeiten, die sich bei Zugriffsver- 
suchen durch Berechtigte allenfalls unwesentlich erhohen, 
eignet sich dieses Verfahren fur alle Anwendungen^ auch fUr 
kontaktlos eingesetzte Chips oder Chipkarten. Da die Anzahl 
der Zugrif f sversuche in einem bestimmten Zeitraum bei bestim- 
mungsgemafier Verwendung nicht beschrankt wird/ eignet sich 
das Verfahren fur alle Anwendungen mit hoher Zugriffsfre- 
quenz. Selbst bei einer StOrung eines Terminals und den dar- 
aus resultierenden zurtlckgewiesenen Zugrif fsversuchen bleibt 
die Funktionsf ahigkeit eines Chips oder einer anderen abgesi- 
cherten elektronischen Vorrichtung grundsStzlich erhalten. 
Das ist ein Vorteil gegentlber einer herkoimlichen Sperrung 
eines Chips durch einen Fehlversuchszahler . 
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Patentanspruche 

1. Elektronische Schaltung zur Sicherung elektronischer Vor- 
richtungen, 

- bei der eine erste und eine zweite Komponente vorhanden 
sind, die jeweils eine gleichartige elektrische Grofie auf- 
weisen, 

- bei der eine dritte Komponente vorhanden ist, die dafur 
vorgesehen ist, Werte der elektrischen Grofie der ersten 
Komponente und der zweiten Komponente miteinander zu ver- 
gleichen, 

- bei der erste Mittel vorhanden sind, mit denen die Werte 
der elektrischen Gr6Be der ersten Komponente und der zwei- 
ten Komponente eingestellt werden, 

- bei der zweite Mittel vorhanden sind, mit denen der Wert 
der elektrischen GroBe der ersten Komponente ausgehend von 
einem Grundwert in einer eine bestimmte Zeit beanspruchen- 
den Weise an den Wert der elektrischen GroBe der zweiten 
Komponente angeglichen wird, 

- bei der dritte Mittel vorhanden sind, mit denen UberprQft 
wird, ob eine berechtigte Nutzung der elektronischen Vor- 
richtung bestimmungsgemafi eingeleitet, ausgefuhrt und be- 
endet wird, und mit denen im Fall unberechtigter oder 
nicht bestimmungsgemafier Nutzung eine Anderung des Wertes 
der elektrischen GroBe der zweiten Komponente oder eine 
Anderung der zweiten Mittel derart herbeigef uhrt wird, daB 
die Zeit, die zum Angleichen des Wertes der elektrischen 
GroBe der ersten Komponente an den Wert der elektrischen 
GroBe der zweiten Komponente durch die zweiten Mittel er- 
forderlich ist, verlangert ist. 

2. Schaltung nach Anspruch 1, 

bei der mit den dritten Mitteln uberpruft wird, ob der Wert 
der elektrischen GroBe der ersten Komponente gleich einem 
Wert ist, den die elektrische GroBe der ersten Komponente im 
AnschluB an eine bestimmungsgemafi beendete Nutzung der elek- 
tronischen Vorrichtung besitzt. 
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3. Schaltung nach Anspruch 1 oder 2, 

bei der die erste Komponente und die zweite Komponente eine 
erste Floating-Gate-Zelle und eine zweite Floating-Gate-Zelle 
5 sind. 

4. Schaltung nach Anspruch 3, 

bei der die elektrische GroBe der Komponenten eine Einsatz- 
spannung ist und 
10 bei der im Fall unberechtigter oder nicht bestimmungsgemaBer 
Nutzung der Wert der Einsatzspannung der zweiten Floating- 
Gate-Zelle geandert wird. 



5. Verfahren zur Sicherung elektronischer Vorrichtungen, 

15 bei dem unter Einsatz -einer elektronischen Schaltung mit ei- 
ner ersten und einer zweiten Komponente, die eine gleicharti- 
ge elektrische Grofie aufweisen, und mit Mitteln, die eine 
Einstellung der Werte der elektrischen Grofie bei beiden Kom- 
ponenten erlauben, bewirkt wird, 
20 - dali eine Nutzung der elektronischen Vorrichtung mindestens 
so lange dauert, wie erforderlich ist, um einen vorgegebe- 
nen Grundwert der elektrischen GroiJe der ersten Komponente 
mittels eines eine bestimmte Zeit beanspruchenden elektro- 
nischen Vorganges an einen jeweiligen, als Referenzwert 
25 fungierenden Wert der elektrischen GroBe der zweiten Kom- 

^ ponente anzugleichen, und 

- daft infolge eines unberechtigten Zugriffs auf die Nutzung 
Oder einer nicht bestimmungsgemafi durchgefuhrten Nutzung 
die von dem elektronischen Vorgang beanspruchte Zeit durch 
30 Verandern des Ref erenzwertes oder durch Verandern der Ge- 

schwindigkeit des Angleichens verlangert wird. 

6. Verfahren nach Anspruch 5, 

bei dem zwei Floating-Gate-Zellen mit einstellbaren Einsatz- 
35 spannungen als Komponenten der Schaltung verwendet werden und 
der elektronische Vorgang ein zeitlich verzogertes Aufladen 
einer der Zellen ist. 
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7. Verfahren nach Anspruch 5 oder 6, bei dem 

in einem ersten Schritt uberpruft wird (A=_ ?) , ob der Wert 
der elektrischen Grofie der ersten Komponente einem vorgegebe- 
nen Grundwert entspricht, 

in einem zweiten Schritt im Fall eines positiven Ergebnisses 
dieser Uberprtifung zu dem nachf olgenden dritten Schritt ge- 
gangen wird und im Fall eines negativen Ergebnisses der Wert 
der elektrischen Grofie der ersten Komponente auf den Grund- 
wert gesetzt wird und der Wert der elektrischen Grofie der 
zweiten Komponente auf einen neuen Referenzwert gesetzt wird 
{Ai_ Bt"") , so dafi die von dem elektronischen Vorgang bean- 
spruchte Zeit verlangert ist, 

in einem dritten Schritt der elektronische Vorgang . ausgefUhrt 
wird (A_/^"B) , bis die Werte der elektrischen Grofie der bei- 
den Komponenten libereinstimmen/ 

in einem vierten Schritt UberprUft wird (ACC ?), ob eine Be- 
rechtigung zur Nutzung der elektronischen Vorrichtung vorhan- 
den ist, 

in einem ftinften Schritt im Fall eines positiven Ergebnisses 
dieser Uberprufung die Nutzung (USE) der elektronischen Vor- 
richtung ermoglicht wird und im Fall eines negativen Ergeb- 
nisses der Wert der elektrischen Grofie der zweiten Komponente 
auf einen neuen Referenzwert gesetzt wird (BT~) , so dafi die 
von dem elektronischen Vorgang beanspruchte Zeit verlangert 
ist, und 

in einem sechsten Schritt der Wert der elektrischen Grofie der 
ersten Komponente auf den Grundwert gesetzt wird (Al_) . 

8. Verfahren nach Anspruch 5 oder 6, bei dem 

in einem ersten Schritt uberpruft wird (A=_ ?) , ob der Wert 
der elektrischen Grofie der ersten Komponente einem vorgegebe- 
nen Grundwert entspricht, 

in einem zweiten Schritt im Fall eines positiven Ergebnisses 
dieser Uberprufung zu dem nachf olgenden dritten Schritt ge- 
gangen wird und im Fall eines negativen Ergebnisses der Wert 
der elektrischen Grofie der ersten Komponente auf den Grund- 
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wert gesetzt wird und der Wert der elektrischen GroBe der 
zweiten Komponente auf einen neuen Referenzwert gesetzt wird 
(A1_ Bt ) , so dali die von dem elektronischen Vorgang bean- 
spruchte Zeit verlangert ist, und der elektronische Vorgang 
5 ausgefuhrt wird {A^^^B) , bis die Werte der elektrischen Gro- 
lie der beiden Komponenten ubereinstimmen, 

in einem dritten Schritt uberprtift wird (ACC 1), ob eine Be- 
rechtigung zur Nutzung der elektronischen Vorrichtung vorhan- 
den ist, 

10 in einem vierten Schritt im Fall eines positiven Ergebnisses 
dieser Oberprtifung der elektronische Vorgang ausgefUhrt wird 
{A-^"B) , bis die Werte der elektrischen Grofie der beiden 
^ Komponenten Ubereinstimmen, sowie die Nutzung (USE) der elek- 
tronischen Vorrichtung ermoglicht wird und im Fall eines ne- 

15 gativen Ergebnisses der Wert der elektrischen GroBe der zwei- 
ten Komponente auf einen neuen Referenzwert gesetzt wird 
(BT ) , so dafi die von dem elektronischen Vorgang beanspruchte 
Zeit verlangert ist, und 

in einem funften Schritt der Wert der elektrischen GroBe der 
20 ersten Komponente auf den Grundwert gesetzt wird (Ai_) . 

9. Verfahren nach Anspruch 5 oder 6, bei dem 
in einem ersten Schritt uberprtift wird (A=B ?), ob der Wert 
der elektrischen Groiie der ersten Komponente gleich dem Wert 
25 der elektrischen GroBe der zweiten Komponente ist, 

in einem zweiten Schritt im Fall eines positiven Ergebnisses 
dieser Oberprufung zu dem nachf olgenden dritten Schritt ge- 
gangen wird und im Fall eines negativen Ergebnisses der Wert 
der elektrischen GroBe der zweiten Komponente auf einen neuen 
Referenzwert gesetzt wird (Bt") , so daB die von dem elektro- 
nischen Vorgang beanspruchte Zeit verlangert ist, 
in einem dritten Schritt der Wert der elektrischen GroBe der 
ersten Komponente auf einen vorgegebenen Grundwert, der von 
dem Referenzwert verschieden ist, gesetzt wird (Ai_) , 
35 in einem vierten Schritt der elektronische Vorgang ausgefuhrt 
wird (A_/^-B) , bis die Werte der elektrischen GroBe der bei- 
den Komponenten ubereinstimmen. 



30 



GR 99 P 2671 DE 



18 

in einem funften Schritt iiberpruft wird (ACC ?), ob eine Be- 
rechtigung zur Nutzung der elektronischen Vorrichtung vorhan- 
den ist, und 

in einem sechsten Schritt im Fall eines positiven Ergebnisses 
5 dieser Oberpriifung die Nutzung (USE) der elektronischen Vor- 
richtung ermoglicht wird und im Fall eines negativen Ergeb- 
nisses der Wert der elektrischen GroBe der zweiten Komponente 
auf einen neuen Ref erenzwert gesetzt wird (BT") , so dafi die 
von dem elektronischen Vorgang beanspruchte Zeit verlSngert 
10 ist. 



10. Verfahren nach Anspruch 5 oder 6, bei dem 
^ in einem ersten Schritt Uberprtift wird (A=B ?), ob der Wert 

der elektrischen Gr6Be der ersten Komponente gleich dem Wert 
15 der elektrischen GroJie der zweiten Komponente ist, 

in einem zweiten Schritt im Fall eines positiven Ergebnisses 
dieser Uberprufung zu dem nachf olgenden dritten Schritt ge- 
gangen wird und im Fall eines negativen Ergebnisses der Wert 
der elektrischen Grofie der zweiten Komponente auf einen neuen 
20 Referenzwert gesetzt wird (Bt"") , so daii die von dem elektro- 
nischen Vorgang beanspruchte Zeit verlangert ist, und der 
elektronische Vorgang ausgefuhrt wird (A_^~B) , bis die Werte 
der elektrischen GrolJe der beiden Komponenten ubereinstimmen, 
in einem dritten Schritt der Wert der elektrischen Grolie der 
25 ersten Komponente auf einen vorgegebenen Grundwert, der von 
^"^ dem Referenzwert verschieden ist, gesetzt wird {Ai_) , 

in einem vierten Schritt iiberpruft wird (ACC ?), ob eine Be- 
rechtigung zur Nutzung der elektronischen Vorrichtung vorhan- 
den ist, 

30 in einem funften Schritt im Fall eines positiven Ergebnisses 
dieser Uberprufung der elektronische Vorgang ausgefuhrt wird 
(A-.^~B) , bis die Werte der elektrischen GroBe der beiden 
Komponenten ubereinstimmen, sowie die Nutzung (USE) der elek- 
tronischen Vorrichtung ermoglicht wird und im Fall eines ne- 

35 gativen Ergebnisses ein Abbruch erfolgt (STOP) . 
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Zusammenf assung 

Schaltung und Verfahren zur Sicherung elektronischer Vorrich- 
tungen. 

Die Zugriffszeit fur die Nutzung einer elektronischen Vor- 
richtung, zum Beispiel eines Chips, wird nach jedem nicht au- 
torisierten Zugrif f sversuch verlSngert. Die Zugriffszeit ist 
bestimmt durch die Zeit ftlr das Angleichen der Einsatzspan- 
nungen zweier Floating-Gate-Zellen. Vor einem Zugrif f sversuch 
wird die Einsatzspannung der einen Zelle auf einen vorgegebe- 
nen Ausgangswert gesetzt und die Einsatzspannung der anderen 
Zelle auf einen demgegentiber hoheren Wert gesetzt, der nach 
jedem nicht autorisierten Zugrif f erhoht wird. 
Figur 1 



